1.2 De l’évolution de la culture de sécurité
1.2.2 Analyse des risques a priori
La méthode AMDEC
L’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (Mé- thode AMDEC, Failure Mode and Effects Analysis ou FMEA en anglais) a été créée par l’armée américaine en 1949 en tant que procédure militaire. Dans les années 60, les Etats-Unis ont utilisé cette méthode d’analyse pré- ventive (méthode a priori) de la sûreté de fonctionnement du matériel, dans le secteur de l’aéronautique. Puis, dans les années 70, les européens ont repris cette méthode dans les industries automobiles, chimiques et nucléaires. De nos jours, elle est systématiquement utilisée dans :
• les industries à risque (nucléaire, spatial, chimie), • le fonctionnement des systèmes,
• les approches fonctionnelles, • les logiciels,
• et désormais en santé.
L’AMDEC est une méthode d’analyse et de prévention des dysfonctionne- ments des systèmes (systèmes au sens large composés d’éléments fonctionnels ou physiques, matériels, logiciels, humains, ...) et qui permet de détecter les défaillances (et leurs effets) :
• d’un produit, • d’un processus, • d’une machine, • de la sécurité, • d’une organisation, • d’un concept, • d’un moyen.
Elle définit les actions à entreprendre pour éliminer ces défaillances, ré- duire leurs effets et empêcher ou en détecter les causes. Cet outil analytique répond ainsi à une démarche d’amélioration de la qualité. Le principe de cette méthode de prévention est d’analyser et d’évaluer les risques poten- tiels d’erreurs susceptibles de se produire à tout moment lors de la phase de réalisation.
Bien que l’AMDEC soit souvent confondue, dans la littérature, avec l’AMDE (Analyse des Modes de Défaillances et de leurs Effets), l’AMDEC inclut une évaluation quantitative de la criticité, l’AMDE étant uniquement une mé- thode qualitative[31].
L’AMDEC se base, dans un premier temps, sur la connaissance précise du système et de son environnement.
Sa réalisation par un groupe de travail pluridisciplinaire est indispensable, avec au moins une personne maitrisant cette méthode. Dans un établissement de santé, toute personne est susceptible de participer à une AMDEC dans la mesure où elle intervient dans le processus qui sera étudié.
Le déroulement de la méthode peut se résumer en 5 étapes indispensables : 1. Initialisation, mise en place de la méthode
3. Analyse des défaillances 4. Cotation des défaillances 5. Actions correctives menées.
1èreétape : cette étape, probablement la plus simple de la méthode, est aussi
la plus importante. C’est à ce moment qu’il faut identifier le système, c’est- à-dire délimiter précisément le champ de travail et les objectifs. Afin de syn- thétiser les informations générales, l’élaboration d’une fiche de synthèse de l’AMDEC est judicieuse.
2nde étape : l’analyse fonctionnelle. Pour analyser les défaillances d’un sys-
tème, il est important de bien identifier à quoi doit servir ce système. L’ana- lyse fonctionnelle permet de mener à bien cette étude. Elle clarifie les buts et les objectifs, le milieu de l’étude, le cahier des charges et les réponses techniques. Cette analyse est l’étape indispensable avant de continuer à dé- rouler la méthode. L’analyse fonctionnelle permet de mettre en avant les fonctions principales du système, ainsi que ses contraintes. Dans ce cadre, chaque fonction du système doit être recensée, caractérisée, ordonnée, hié- rarchisée et valorisée.
3ème étape : l’analyse des défaillances. Cette analyse consiste à repérer les
modes de défaillance potentiels, leurs causes, effets (gravité, occurence et dé- tectabilité) et criticité. Les défaillances (fonctions prévues mais non remplies par le système) sont ensuite classées en fonction de leur criticité. L’utilisa- tion du diagramme d’Ishikawa peut être utile pour déterminer l’ensemble des causes d’un effet. Pour valider cette étape on utilise, classiquement, la grille AMDEC suivante[46].
Processus :
étapes Défaillancesétapes des Causesdéfaillancesde faillancesEffets des dé- G O D CriticitéG*O*D : Actioncorrective
Table 1.2 – Grille AMDEC
G : gravité. La gravité dépend du retentissement de la défaillance. Elle est jugée majeure dans le cas où elle atteint les personnes. Selon les cas étudiés,
l’évaluation va porter exclusivement sur la gravité ciblant le patient ou pou- vant intégrer aussi la gravité concernant le système.
O : probabilité d’occurrence. Dans le cas d’une défaillance technique, la pro- babilité d’occurrence reste simple à calculer. Dans le cas d’une défaillance humaine, cela se complique : il faut alors utiliser les données de la littérature disponibles ou le retour d’expérience. La qualité va dépendre grandement du système de déclaration et receuil d’incidents déjà opérationnel.
D : probabilité de non-détection de la non-conformité pendant le déroulement du processus.
C : la criticité est obtenue par multiplication des facteurs de gravité, d’occur- rence et de probabilité de non détection[32]. Cette criticité doit être recalculée dès lors qu’un changement intervient dans le processus de départ.
4ème étape : cotation des défaillances. La criticité permet d’obtenir une hié-
rarchisation des différentes défaillances. Grâce à ce classement, le groupe de travail peut déterminer les seuils de criticité. Ces seuils correspondent aux limites au delà desquelles les actions correctives et préventives doivent être menées (acceptable en l’état, inacceptable, tolérable sous contrôle).
5ème étape : les actions correctrices. Cette étape correspond à la mise en place
des actions correctives ou préventives, correspondant donc à une approche d’amélioration continue de la sécurisation. Il s’agit alors de déterminer et de déployer les actions permettant de diminuer au maximum l’erreur du système ou du produit. Trois cas de maintenance existent pour résoudre le problème : la maintenance corrective, la maintenance préventive et la maintenance amé- liorative. Les actions à mener ne seront efficaces que si elles sont respectées et suivies. Le risque résiduel est alors déterminé.
L’AMDEC est la méthode de référence recommandée en « 1ère intention »
par la HAS en ce qui concerne l’analyse a priori. Elle peut être mise en place pour la réalisation d’un diagnostic ou l’élaboration de la cartographie des risques exigée par l’arrêté du 6 avril 2011.
La méthode APR
L’Analyse Préliminaire des Risques (APR) est une méthode analytique, in- ductive, « initiée à partir des causes d’une situation à risque pour en déter- miner leurs causes »[28][120] et semi-quantitative d’identification et d’évalua- tion a priori du risque. Développée au début des années 1960 aux Etats-Unis, initialement pour des applications aéronautiques et militaires, cette analyse a pour objectif de sécuriser un système, en procédant à une analyse fonc- tionnelle et en déterminant les situations dangereuses (état d’un système en
présence d’un danger) de chaque étape (identification, évaluation, hiérarchi- sation et maitrise du risque). Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995), l’APR peut être définie comme « une technique d’identification et d’analyse de la fréquence du danger qui peut être utilisée lors des phases amont de la conception pour identifier les dangers et évaluer leur criticité ».
Les domaines d’application de cette méthode sont variés : activités indus- trielles, financières, environnementales, sanitaires[120], etc.
« L’APR d’un système couvre l’identification et l’évaluation : • des incertitudes sur sa mission,
• des dangers auxquels il peut être exposé,
• des situations dangereuses dans lesquelles il peut se retrouver en condi- tions normales ou anormales,
• des scénarii conduisant à des évènements redoutés, • des conséquences sur le système et son environnement, • des traitements de maitrise des risques,
• des actions de gestion des risques résiduels »[65].
Mettre en oeuvre l’APR est relativement complexe, nécessitant du temps et une certaine maîtrise de la méthode pour l’ensemble des participants ce qui explique sa moindre utilisation en santé, par rapport à l’AMDEC par exemple.
L’objectif de la méthode APR est de cibler les dangers potentiels[26] et d’ob- tenir une cartographie des risques existants, c’est à dire « le diagnostic sur les vulnérabilités de l’activité considérées vis-à-vis d’un ensemble prédéfini de dangers et le résultats de ce diagnostic »[65]. Généralement, l’APR se décompose en deux grandes étapes :
• l’APR dit système dont l’objectif, après avoir décrit le système (analyse fonctionnelle) est de mettre en place une cartographie des situations dangereuses.
• l’APR scénario global permettant l’analyse à proprement parler. La méthode APR se base sur 4 échelles d’évaluation :
Index
de la
classe
Intitulé générique
de la classe Intitulé des conséquences système associées
G1 Mineure – Aucun impact préjudiciable à la sécurité du système ou à la poursuite de l’activité
– Aucune conséquence pour le patient
G2 Significative – Dégradation partielle de la disponibilité du système
– Dégradation partielle du déroulement nominal de composantes non essentielles de l’activité
– Conséquence importante dans le déroulement du traitement du pa- tient sans altération de son état (prolongation de l’hospitalisation, ...)
G3 Grave – très forte dégradation ou dégradation totale de la disponibilité du système sans conséquence sécuritaire pour le système. Dégradation totale de composantes non essentielles de l’activité sans conséquence irréversible sur la poursuite de l’activité
– Conséquence importante dans le déroulement du traitement du pa- tient et altération légère et réversible de son état
G4 Critique – Dégradation partielle de la sécurité du système
– Dégradation partielle de composantes essentielles de l’activité sans conséquence irréversible sur la poursuite de l’activité
– Altération de l’état du patient avec conséquences cliniques (dom- mages corporels avec séquelles)
G5 Catastrophique – Très forte dégradation ou dégradation totale de la sécurité du sys- tème (état irréversible)
– Dégradation totale des composantes essentielles de l’activité avec conséquences irréversibles sur la poursuite de l’activité
– Invalidité permanente ou décès du patient
Table 1.3 – Exemple de cotation de la gravité[28] • l’échelle de vraisemblance Echelle de vraisemblance V1 V2 V3 V4 V5 Impossible à impro- bable Très peu probable Peu pro- bable Probable Très pro- bable à certain Table 1.4 – Exemple de cotation de la vraisemblance[28]
• l’échelle de criticité et référentiel de décision
Echelle de criticité et référentiel de décision Classes de criti- cité Niveau de risque Décision C1 Acceptable en l’état
Aucune action n’est à entre- prendre
C2 Tolérable sous
contrôle
Un suivi en termes de ges- tion du risque résiduel doit être organisé
C3 Inacceptable La situation doit être refu-
sée et des mesures en ré- duction des risques sont à prendre
Table 1.5 – Exemple de cotation de la criticité[28]
Classes de gravité G1 G2 G3 G4 G5 Classes de vraisem blance V5 V4 V3 V2 V1
• l’échelle d’effort de réduction du risque
Echelle d’effort Classes
d’effort Niveaufort pourd’ef- maitriser le risque
Commentaires
E0 Aucun Aucune action entreprise
E1 Faible
– Effort très faible à faible – Délai<3 mois
– Surcoût< 3000 euros
– Vigilance, contrôle ou action ponctuelle
E2 Moyen
– Effort moyen
– 3 mois<délai<18 mois – 3000<surcoût< 50000 euros – Vigilance, contrôle ou action
périodique
E3 Fort
– Effort important à très impor- tant
– Délai>18 mois
– Surcoût>50000 euros
– Vigilance, contrôle ou action continu
– Action au plus haut niveau
Table 1.7 – Exemple de cotation de l’effort[28]
Ces échelles sont à adapter au système et au domaine d’application. L’APR est particulièrement utile pour approfondir une analyse ou notam- ment, lors de la mise en place ou modification importante d’une nouvelle organisation.
En conclusion, il existe plusieurs méthodes validées d’analyse du risque a
priori. Certaines ont été détaillées dans la partie précédentes, mais d’autres
ZID (HAZard IDentification), HACCP (Hazard Analysis Critical Control Points)[29], etc. non détaillées dans ce manuscrit.
Le choix de telle ou telle méthode se fera en fonction de l’objectif, du péri- mètre, des acteurs présents et de leurs compétences et expériences respectives et des contraintes de temps.